Die Schwachstellenbewertung ist das Herzstück eines professionellen Penetrationstest-Reports. CVSS, Ausnutzbarkeit und Geschäftsauswirkung bestimmen die Priorität. Dieser Artikel erklärt alle Bewertungsmethoden.
Was ist CVSS und wie funktioniert es
CVSS (Common Vulnerability Scoring System): standardisiertes System zur Bewertung von Schwachstellen auf einer Skala von 0–10. Aktuelle Version: CVSS 4.0 (2023). Basis-Score berechnet sich aus: Attack Vector (lokal/Netzwerk), Attack Complexity, Privileges Required, User Interaction, Scope, Confidentiality/Integrity/Availability Impact. Score 9–10: kritisch, sofortige Maßnahme.
Welche CVSS-Kategorien gibt es
CVSS-Kategorien: 0.0: keine Auswirkung. 0.1–3.9: niedrig (beheben im Planungszyklus). 4.0–6.9: mittel (beheben innerhalb 90 Tage). 7.0–8.9: hoch (beheben innerhalb 30 Tage). 9.0–10.0: kritisch (sofortige Maßnahme, ggf. System offline). Praxis: CVSS ist ein Ausgangspunkt — Kontextfaktoren (Exposition, Ausnutzbarkeit in der Praxis) können Priorität erhöhen oder senken.
Was ist der Unterschied zwischen CVSS-Score und tatsächlichem Risiko
CVSS bewertet die Schwachstelle selbst — nicht das tatsächliche Risiko im Kontext. Ein CVSS-9-Finding auf einem internen System ohne Internetzugang ist weniger kritisch als ein CVSS-7-Finding auf einem öffentlich exponierten Server. Kontextfaktoren: Exposition (intern/extern), Ausnutzbarkeit (aktiver Exploit vorhanden?), Kritikalität des betroffenen Systems.
Wie werden Schwachstellen im Pentest-Report dargestellt
Report-Format je Finding: Titel und Schweregrad (CVSS), Betroffene Systeme, Technische Beschreibung der Schwachstelle, Reproduktionsschritte (Schritt-für-Schritt), Evidenz (Screenshots, Logs), Auswirkung (was kann ein Angreifer tun?), Empfehlung (konkrete Behebungsschritte), Referenzen (CVE-Nummer, CWE). Guter Bericht ist reproduzierbar und handlungsorientiert.
Was ist Vulnerability Chaining
Vulnerability Chaining: Verkettung mehrerer niedrig bewerteter Schwachstellen zu einem kritischen Angriffspfad. Beispiel: Information Disclosure (CVSS 4) + unsichere Konfiguration (CVSS 5) + schwaches Passwort (CVSS 6) = vollständige Systemkompromittierung (Auswirkung CVSS 10). Professionelle Pentest-Reports zeigen Angriffspfade nicht nur isolierte Findings.
✓ Checkliste: Wie werden Schwachstellen beim Penetrationstest bewertet?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Wie werden Schwachstellen beim Penetrationstest bewertet? ist für Unternehmen jeder Größe relevant. Professionelle Umsetzung schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen. APASEC begleitet Sie von der ersten Analyse bis zur nachhaltigen Implementierung.
APASEC unterstützt Sie — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
CVSS (Common Vulnerability Scoring System): standardisiertes System zur Bewertung von Schwachstellen auf einer Skala von 0–10. Aktuelle Version: CVSS 4.0 (2023). Basis-Score berechnet sich aus: Attack Vector (lokal/Netzwerk), Attack Complexity, Privileges Required, User Interaction, Scope, Confidentiality/Integrity/Availability Impact. Score 9–10: kritisch, sofortige Maßnahme.
CVSS-Kategorien: 0.0: keine Auswirkung. 0.1–3.9: niedrig (beheben im Planungszyklus). 4.0–6.9: mittel (beheben innerhalb 90 Tage). 7.0–8.9: hoch (beheben innerhalb 30 Tage). 9.0–10.0: kritisch (sofortige Maßnahme, ggf. System offline). Praxis: CVSS ist ein Ausgangspunkt — Kontextfaktoren (Exposition, Ausnutzbarkeit in der Praxis) können Priorität erhöhen oder senken.
CVSS bewertet die Schwachstelle selbst — nicht das tatsächliche Risiko im Kontext. Ein CVSS-9-Finding auf einem internen System ohne Internetzugang ist weniger kritisch als ein CVSS-7-Finding auf einem öffentlich exponierten Server. Kontextfaktoren: Exposition (intern/extern), Ausnutzbarkeit (aktiver Exploit vorhanden?), Kritikalität des betroffenen Systems.
Report-Format je Finding: Titel und Schweregrad (CVSS), Betroffene Systeme, Technische Beschreibung der Schwachstelle, Reproduktionsschritte (Schritt-für-Schritt), Evidenz (Screenshots, Logs), Auswirkung (was kann ein Angreifer tun?), Empfehlung (konkrete Behebungsschritte), Referenzen (CVE-Nummer, CWE). Guter Bericht ist reproduzierbar und handlungsorientiert.
Vulnerability Chaining: Verkettung mehrerer niedrig bewerteter Schwachstellen zu einem kritischen Angriffspfad. Beispiel: Information Disclosure (CVSS 4) + unsichere Konfiguration (CVSS 5) + schwaches Passwort (CVSS 6) = vollständige Systemkompromittierung (Auswirkung CVSS 10). Professionelle Pentest-Reports zeigen Angriffspfade nicht nur isolierte Findings.